我的编程空间,编程开发者的网络收藏夹
学习永远不晚

首席信息安全官和首席信息官应该如何共享网络安全所有权

短信预约 -IT技能 免费直播动态提醒
省份

北京

  • 北京
  • 上海
  • 天津
  • 重庆
  • 河北
  • 山东
  • 辽宁
  • 黑龙江
  • 吉林
  • 甘肃
  • 青海
  • 河南
  • 江苏
  • 湖北
  • 湖南
  • 江西
  • 浙江
  • 广东
  • 云南
  • 福建
  • 海南
  • 山西
  • 四川
  • 陕西
  • 贵州
  • 安徽
  • 广西
  • 内蒙
  • 西藏
  • 新疆
  • 宁夏
  • 兵团
手机号立即预约

请填写图片验证码后获取短信验证码

看不清楚,换张图片

免费获取短信验证码

首席信息安全官和首席信息官应该如何共享网络安全所有权

在大多数企业中,首席信息安全官和首席信息官都肩负着网络安全的责任是很常见的,而这个问题对于任何企业的有效运营越来越重要。明确的网络安全所有权是企业安全成功定位的不可或缺的一部分。

[[425401]]

根据国际信息系统审计协会(ISACA)最近对近3700名全球网络安全专业人员的一项调查,48%的网络安全团队直接向首席信息安全官报告,25%的网络安全团队向首席信息官报告。尽管这些在报告中存在差异,但表明首席信息安全官和首席信息官之间在安全职能所有权方面没有显著差异,其中涉及网络攻击增加或减少的观点、检测和响应网络威胁的能力以及网络犯罪。

然而,该报告确实发现了与网络风险评估的执行评估、企业董事会如何优先考虑网络安全以及战略调整相关的差异。更重要的是,该报告还指出了一种越来越多的行业惯例,即首席信息安全官向首席信息官以外的任何人报告,尤其是当首席信息安全官的范围包括治理、风险和合规性、业务连续性/灾难恢复、欺诈、信任以及安全或危机管理的时候。

由于企业的规模、部门和监管要求等原因,首席信息官和首席信息安全官对网络安全问题的责任可能有所不同。尽管如此,随着网络安全与更广泛的业务元素越来越紧密地交织在一起,谁拥有什么类型的网络安全所有权以及为什么拥有这种权力变得越来越重要。

网络安全责任:首席信息安全官vs.首席信息官

Lightico公司首席信息官Omri Braun以这种方式总结了大多数首席信息官和首席信息安全官的网络安全职责之间的区别:“首席信息官更专注于确保使用正确的工具来最大限度地提高效率,以及识别影响企业和不断寻找机会使用和生产更好的技术。首席信息安全官负责确保主动保护数据安全性和完整性。”

Orange Cyber​​defense公司全球首席信息安全官Richard Jones对此表示认同。他说,“通常情况下,首席信息安全官的角色是从运营角度看待安全,保护企业免受网络威胁。另一方面,首席信息官更侧重于通过设计将安全性构建到企业更广泛的技术堆栈和正在进行的数字化转型项目中,以提高弹性、提升用户体验,并最大限度地提高效率。”

网络安全架构师Tee Patel表示,就安全投资回报率而言,首席信息官经常被迫采取“党派路线”,而首席信息安全官通常需要更加独立,专注于保护业务安全。他说,“让企业获利并实现目标(首席信息官)与保持IT安全(首席信息安全官)是首席信息官和首席信息安全官之间的显著差异。”

这些区别可能很微妙。英国特许信息安全协会首席执行官 Amanda Finch表示,首席信息安全官和首席信息官对数据的态度最好地概括了责任的差异。信息安全认证和认证机构CREST公司总裁Ian Glover表示,从安全角度完全区分首席信息安全官和首席信息官的角色越来越困难。在大多数企业中,它们过于紧密地结合和相互关联。

首席信息安全官的网络安全职责

Zoom公司首席信息安全官Jason Lee表示,他的主要重点是保护关键信息,包括客户数据、员工数据和源代码。他说,“在安全方面,考虑大局很重要。这包括查看与业务相关的第三方并评估如何最好地管理任何风险。我还负责尽可能多地培训和教育员工,以确保他们为安全威胁做好准备并受到保护。”

对于惠普公司的首席信息安全官Joanna Burkey来说,驾驭混合工作时代以保护企业是当前安全工作的不可或缺的一部分。他说,“在过去18个月左右的远程工作模式中,网络安全很容易对员工增加更多限制,因为他们的工作通常在没有传统的基础设施保护的情况下进行。”然而,这些安全政策和限制是为远程工作是例外而不是常态的时候设计的,需要通过新的视角来看待。她说,“首席信息安全官现在需要考虑其他降低风险的方法如何可以保护企业,但同时也承认现实生活中并不总是很好地遵守政策,尤其是在全球发生疫情之后。”

Jones补充说,管理由动态网络威胁格局和数字化转型浪潮相结合引起的过载是现代首席信息安全官角色的另一个组成部分。她说,“网络安全现在需要融入企业运营的各个方面,并成为从首席执行官到初级员工每个人的首要考虑的事项。”他指出,首席信息安全官因此必须从头开始为企业数字环境的各个方面注入安全性,确保它从数字项目开始就融入进来,最终减少安全团队面临的警报量,让他们能够更好地利用技能和资源。

首席信息官的网络安全职责

Finch指出,虽然首席信息安全官负责网络安全的各种日常性和前瞻性规划,但在大多数企业中,这些责任往往由首席信息官承担,首席信息官向首席执行官和董事会成员报告。他说,“因此,首席信息官不能完全将责任交给首席信息安全官。与其相反,他们需要保持对安全战略的认识,并确保不会使企业的整体战略处于危险之中,反之亦然。”

Tenable公司首席信息官Brad Pollard表示,当今的首席信息官有一系列基于可用性、性能、预算和项目及时交付的安全责任。他说,“首席信息官支持企业内的每个业务部门。在这样做时,他们继承了每个业务部门的信息安全要求。”

例如,首席信息安全官很可能负责定义安全参数,例如漏洞修复或访问控制的服务级别协议,但首席信息官有责任为所有业务部门满足这些要求,并涵盖企业的所有技术。Pollard说。“首席信息官面临的主要网络安全挑战是满足业务需求,特别是保持预算和进度,同时保持安全的环境。”

英国埃塞克斯大学首席信息官Jots Sehmbi表示,首席信息官的角色不仅仅是运营传统业务,还越来越多地包括实施新技术,为企业提供数字能力。他说,“其中一些技术对企业来说可能是新颖的(例如RPA、人工智能、物联网)并存在潜在风险,例如数据的架构方式。因此,首席信息官有责任深入了解新技术的网络安全趋势。”

冲突与合作

Braun表示,鉴于世界并不完美这一现实,首席信息安全官和首席信息官不同的网络安全责任和目标可能会导致冲突。但是需要提高凝聚力,以确保正在使用具有前瞻性的技术,该技术受到安全实践的保障,不会危及企业、其数据或客户的数据。

Jones表示,首席信息官和首席信息安全官不能孤立地看待自己,他们必须明白,虽然可能有不同的目标,但他们走的是同一条路。他说,“这两个职位之间的协作和沟通是现代企业中的关键。首席信息安全官和首席信息官必须合作利用SD-WAN、SASE和零信任等技术和方法,以支持这些新的安全、高效的工作方式,并且不会影响可用性。”他补充说,首席信息安全官和首席信息官也必须意识到彼此的约束并在其中运作。

Glover引用了此处涉及的监管问题,强调了国际监管社区中一个新出现的问题,监管机构现在认识到有责任了解其受监管实体提供的网络安全保证水平。他说,“同一受监管行业的首席信息官和首席信息安全官之间需要加强合作。监管机构会做他们认为正确的事情,但通常会从自身的角度看待问题。这种积极的影响与首席信息官和首席信息安全官的历史角色大不相同,但是,如果谨慎而富有同情心地进行,将降低业务成本,让更多资源集中在控制而不是报告上,并通过展示对业务的真正理解以及降低成本和提高效率的必要性,提高首席信息官和首席信息官在企业中的地位。”

Lee补充说,网络安全在业务运营中的发展作用正在改变首席信息官和首席信息安全官之间的凝聚力,这是他在Zoom公司亲身体验过的。他说,“我们都必须优先考虑网络安全,并应对日益增加的威胁。而在做出任何决定时,安全性必须是我们的首要考虑因素。保持参与彼此的战略和关键举措至关重要。即使我们认为不需要对方来确保很强的一致性,也会不断地在策略中相互参与。这意味着我们的角色比过去更紧密地联系在一起,使得协作变得更加重要。”

网络安全所有权的未来

展望未来,专家预测首席信息安全官和首席信息官的网络安全职责将发生显著变化。Finch说,“我们将看到首席信息官和首席信息安全官努力使安全成为具有一致性标准、行为和执行的可信赖来源承担同样重要的责任,就像法律、医学和会计等职业一样。”

Zscaler公司首席信息安全官Marc Lueck认为,首席信息官在未来几年将有一段有趣的网络安全之旅。他指出,“或者他们擅长平衡成本和收益模式这两种截然不同的基本服务,或者首席信息官将负责IT安全交付,由不再向他们报告的首席信息安全官管理并可能执行。这两种模式都将存在,而且只要合适的人担任这些角色,两者都会取得成功。”对于首席信息官而言,网络安全失败并不令人难忘,但对于首席信息官而言,网络安全将变得与效率和成本削减技能一样重要。

Pollard补充说,就像现代业务部门通过SaaS平台承担一些传统IT职责一样,首席信息官将更有责任在业务部门内寻找安全专家。他补充说,“这些专家不仅需要知道如何保护所使用的特定技术,还需要了解对特定业务部门构成最大风险的威胁的态势感知。”

Glover预测,首席信息官和首席信息安全官的共同职责将在第三方连接和并购领域发生变化,双方都需要共同努力建立有意义的流程,以增加安全性和保障。他说,“他们将共同努力,以确保他们成为企业内重大举措的一部分,并在他们之间拥有力量和权威,就第三方关系以及收购和合并做出明智和深思熟虑的声明。”

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

首席信息安全官和首席信息官应该如何共享网络安全所有权

下载Word文档到电脑,方便收藏和打印~

下载Word文档

猜你喜欢

首席信息安全官和首席信息官应该如何共享网络安全所有权

在大多数企业中,首席信息安全官和首席信息官都肩负着网络安全的责任是很常见的,而这个问题对于任何企业的有效运营越来越重要。明确的网络安全所有权是企业安全成功定位的不可或缺的一部分。

首席信息官与首席信息安全官如何融洽相处

作为战略要务,安全工作的不断攀升已改变了IT与信息安全主管之间的关系。本文将介绍首席信息官和首席信息安全官如何成为推动形成协同效应的合作伙伴。

如何成为首席信息安全官

首席信息安全官是一项充满风险的艰巨的工作,也是一项令人兴奋的工作,而且现在比以往任何时候都更加必要。首席信息安全官可能看起来像超人,同时他们是具有奉献精神、经过培训、制定计划并且致力于达到目的的人才。

首席信息安全官应该考虑的8件事

以下是首席信息安全官应该考虑和解决的8个经常被忽视的事项和问题。

首席信息安全官的职责和要求

首席信息安全官的职责是什么?也许理解首席信息安全官工作的最好方法就是了解其日常职责。上世纪90年代在花旗集团担任首席信息安全官的Stephen Katz在接受行业媒体采访时概述了首席信息安全官的职责范围。

首席信息安全官需要应对的十大网络安全挑战

首席信息安全官十佳报告的创建植根于对网络安全社区的深刻承诺。这些报告是对345名首席信息安全官和安全负责人进行深入调查的结果,他们的专业知识和经验共同塑造了排名和提供的见解。

首席信息安全官如何确保企业高管的信息安全

当网络犯罪分子试图侵入企业的信息系统并获取敏感和专有信息时,企业高管和董事会成员可能成为网络攻击的目标,首席信息安全官为他们提供信息安全防护需要全面的方法。

首席信息安全官对其安全状况的信心如何?

48%的首席信息安全官认为他们的企业在未来一年内可能面临遭受重大网络攻击的风险,而去年有64%的人这样认为。

首席信息安全官如何与企业董事会讨论网络安全

随着数据泄露事件达到历史最高水平,首席信息安全官需要时刻保持警惕,以发现IT基础设施中的盲点,并降低风险,最终确保企业的业务安全。

首席信息安全官如何不错过与首席数据官的合作机会?

首席信息安全官可以利用首席数据官的数据知识和治理技能加强安全,而首席数据官可以利用首席信息安全官的内部和外部威胁知识保护数据。两者之间可以更好地开展合作。

改善首席信息安全官和首席财务官关系的七个技巧

首席财务官/财务主管和首席信息安全官的关系对于了解企业如何衡量成功至关重要,这有助于首席信息安全官如何更好地衡量和传达其面临的网络威胁。

首席信息安全官的网络安全投资回报率指南

首席信息安全官的工作有时感觉像是一场零和游戏,其工作内容从确保企业网络和系统的健康和安全,到倡导采用更多资源,并在高度矩阵化的全球结构中导航,因此,首席信息安全官肩负着许多责任。

大多数首席信息官和首席信息安全官低估了运营技术违规的风险

很多企业低估了网络攻击的风险,73%的首席信息官和首席信息安全官都认为他们所在的公司在未来一年不会遭受运营技术攻击。

首席信息安全官和首席风险官最关注的威胁和挑战是什么?

调查发现,人才保留与企业存储信息的方式直接相关。事实上,采用云平台可以让企业在招聘和留住具有网络风险和安全技能的人才方面拥有一些优势。

首席信息安全官应该回答的三个云安全态势问题

随着消费者期望和技术的发展继续影响企业收集、存储和共享有价值数据的方式,保护数据免受现有和高级的持续威胁的工作变得更加复杂。

首席信息安全官如何成为创新的推动者

网络安全解决方案提供商Forcepoint公司EMEA地区高级副总裁Myles Bray对首席信息安全官(CISO)的角色如何发生变化以促进创新进行了阐述和分析。

首席信息安全官如何与企业董事会成员和高管讨论网络安全

随着许多数据泄露和勒索软件攻击事件已经成为头条新闻,并带来相关的灾难性后果,例如业务关闭、财务/收入损失、声誉受损等,许多企业董事会成员和高管已经意识到,网络安全不再单是一个IT方面的问题,而且也是业务方面的问题。

首席信息安全官应该向谁汇报工作,CEO、CIO还是CFO?

本文探讨了不同汇报结构的优点和缺点,并提供了在构建企业的首席信息安全官报告关系时需要考虑的一些要点。

恢复和弹性:首席信息安全官对2022年网络安全形势的洞察

随着疫情的影响开始消散,首席信息安全官如何应对随之而来的安全挑战和即将到来的障碍,这些挑战需要得到所有网络安全人员和业务利益相关者的关注。

首席信息安全官的角色将会有哪些变化?

虽然首席信息安全官曾经被称为安全风险管理者,但首席信息安全官现在被认为是一个组织的业务推动者。

编程热搜

  • Python 学习之路 - Python
    一、安装Python34Windows在Python官网(https://www.python.org/downloads/)下载安装包并安装。Python的默认安装路径是:C:\Python34配置环境变量:【右键计算机】--》【属性】-
    Python 学习之路 - Python
  • chatgpt的中文全称是什么
    chatgpt的中文全称是生成型预训练变换模型。ChatGPT是什么ChatGPT是美国人工智能研究实验室OpenAI开发的一种全新聊天机器人模型,它能够通过学习和理解人类的语言来进行对话,还能根据聊天的上下文进行互动,并协助人类完成一系列
    chatgpt的中文全称是什么
  • C/C++中extern函数使用详解
  • C/C++可变参数的使用
    可变参数的使用方法远远不止以下几种,不过在C,C++中使用可变参数时要小心,在使用printf()等函数时传入的参数个数一定不能比前面的格式化字符串中的’%’符号个数少,否则会产生访问越界,运气不好的话还会导致程序崩溃
    C/C++可变参数的使用
  • css样式文件该放在哪里
  • php中数组下标必须是连续的吗
  • Python 3 教程
    Python 3 教程 Python 的 3.0 版本,常被称为 Python 3000,或简称 Py3k。相对于 Python 的早期版本,这是一个较大的升级。为了不带入过多的累赘,Python 3.0 在设计的时候没有考虑向下兼容。 Python
    Python 3 教程
  • Python pip包管理
    一、前言    在Python中, 安装第三方模块是通过 setuptools 这个工具完成的。 Python有两个封装了 setuptools的包管理工具: easy_install  和  pip , 目前官方推荐使用 pip。    
    Python pip包管理
  • ubuntu如何重新编译内核
  • 改善Java代码之慎用java动态编译

目录